以欧盟共同标准网络安全认证方案(EUCC)为例,做欧盟网络安全认证主要有以下步骤:
确定产品适用的保证级别:根据产品的预期使用风险水平,参考 EUCC 计划规定,确定产品需要达到的 “实质性” 或 “高” 保证级别。比如网络设备、操作系统等产品,通常需满足较高的保证级别。
撰写安全目标:基于保护配置文件(附件 II)撰写产品的安全目标,明确产品在网络安全方面需要达到的具体目标和要求。
准备相关文档:
技术文档:包括产品描述、设计文档、安全策略、测试报告等,详细说明产品的技术架构、功能特性以及如何满足网络安全标准。
最新技术状态文档(如适用):如果保证级别较高,需要准备与技术领域相关的最新技术状态文档,以证明产品采用了先进的安全技术和措施。
漏洞监测和处理以及补丁管理信息:提供产品的漏洞监测和处理流程,以及补丁管理相关信息,展示产品在发现和修复安全漏洞方面的能力和机制。
选择认证机构:挑选经欧盟认可的具备资质的认证机构。可通过欧盟官方网站查询认可的认证机构名单,也可参考行业口碑和评价,选择在 ICT 产品网络安全认证方面经验丰富、信誉良好的机构。
提交认证申请:向选定的认证机构提交正式的认证申请,同时提交准备好的各项文档,并缴纳相应的认证费用。
产品评估与测试:认证机构对产品进行评估和测试,包括技术文件审核、实验室测试以及可能的现场审核。实验室测试会依据相关标准对产品的安全性、性能等进行测试,如检测产品的加密强度、对网络攻击的抵御能力等;现场审核则主要针对生产现场的管理流程、质量控制体系等进行检查。
认证决定与获证:认证机构根据评估和测试结果做出认证决定。若产品满足所有要求,将颁发欧盟网络安全认证证书;若存在不符合项,申请人需进行整改,整改后重新提交审核或测试。获得认证后,企业可在产品上使用相应的认证标志,并在欧盟市场宣传其产品符合网络安全标准。
持续监督与维护:认证机构会对获证企业进行持续监督,定期或不定期检查产品的合规性。企业需及时关注法规和标准的更新,对产品进行相应调整,以保持认证的有效性。
不同的认证计划和产品类型可能会在具体要求和流程上有所差异。在进行认证前,建议企业仔细查阅相关的认证指南和标准,或咨询专业的认证机构,以确保认证过程的顺利进行。
领取专属 10元无门槛券
私享最新 技术干货